HP CEOは本当に知らなかったのか–情報漏洩
HP CEOは本当に知らなかったのか–情報漏えい調査会見への疑問:CNET Japanより
2006年2月、Hurd氏は、HP社内の情報提供者を突きとめる意図でCNET News.comの記者に偽の電子メールを送信してその反応を見るというばかげた手段がとられたことを許可した・・・
もっと奇妙なのは、部下から送られてきた、HP内で実施された調査結果を報告するメモをHurd氏が読み損ねたと言っている点だ。「読み損ねた」とはどういうことか・・・
ウォール街は、今回の件ができるかぎり早く収束することを心の底から願っている。当然だ。彼らの興味は企業倫理の問題などではなく、マネー製造機たる企業につつがなく経営を維持させることだからである・・・
2005年の初めにCarly Fiorina氏に代わってCEOに任命されて以来、Hurd氏は外部と良好な関係を維持してきた。Hurd氏について書かれた彼を賞賛するプロフィール記事によると、彼は細部にもぬかりない精力的な働き手として通っている。だから、取締役が機密情報を社外に漏らしたことを知ったら彼が怒り狂うのも理解できる。しかし、その情報提供者を突き止めるために使った方法に注意を払っていないというのは、われわれが聞かされているMark Hurd氏のイメージと一致しない・・・
・・・情報提供者を突き止めるための調査を命令したあと、もう少し注意を払うべきだった。特に、調査手法の一部を知らされたあとに注意を払っていればこんなことにはならなかったはずだ・・・
近年の事件には、必ずと言って良いほどに電子メールが登場してくる。
ライブドアの事件でも、サーバが押収されメール内容の復元が行われた 。
前回1/19日に書いたライブドアのサーバ記事について…
ライブドアの時には、メールの贋作なる言葉をはじめて聞いてビックリしたものだ。
メールの贋作=メールを印刷した紙
何もデジタルなメールを、印刷した上で贋作なんて言わなくても良いだろう。
じゃあ、デジタルなメールを転送したからって、送信情報含めていくらでも簡単に改ざん出来る。
贋作なんて言うと、骨董品の掛け軸のイメージが強いのだが、テレビでしか見たことがないけれど、薄く剥いで結構大変な事をしながら作るようである。
メールなんかの贋作(ここではこう呼んでみる)は、自分のパソコンとちょっとした事だけで充分に立派に出来上がる。
今回の偽のメールなんて、3分クッキングよりも簡単だ。
また、今回はメールのチェイサーでも話題だったようだ。
いずれも、技術的には決して新たらしくもなく、難しいこともしていない。
ただ、あまりそんな機会がなく、hpのような大企業で起きたから、なおさら話題になっている。
プリテキスティングについても同様である。
ここで学べることは、
1.ベタなアナログ的手法も多く
2.見えにくい部分ではデジタルを活用し
3.心理的に騙されやすいことを利用
悪いことが出来るスキルを持ち、悪いことをしないで、相手の手口を知るだけに留め、自己防衛のために利用する。
これって紙一重の世界になるが、私もまだここで頑張っている。
ギリギリだからこそ、守るときも強くなる。
攻撃が最大の防御は、知っていなければ出来ないのだ。
新倉茂彦
最新記事 by 新倉茂彦 (全て見る)
- 原因は理解出来ない会社側にあり ⇒ 結果はセキュリティ要員が燃え尽き症候群で離職するという、誰にも良い状況とならない悪循環 - 2019/07/10
- 7payの不正利用で考える「不正」という言葉の違和感 - 2019/07/04
- 【33%】退職後も前職場の共有ファイルにアクセスできる、との調査結果を見て何が気になりますか? - 2019/06/28
45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ
■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。
■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。